Hatena::ブログ(Diary)

hoshikuzu | star_dust の書斎 このページをアンテナに追加 RSSフィード Twitter

hoshikuzu|star_dustの日記について

書く内容の方針とかはフラフラしているのです。あまり考えていないかも知れません。面白いなぁと思うこと、大事なことだなぁと思うことを書いています。あんまり悲しいことは書かない主義。

 | 

2006-04-14 このエントリーを含むブックマーク このエントリーのブックマークコメント

InternetExplorerのいわゆるCSSXSS脆弱性と4月度のセキュリティ更新プログラムについて(その2)

20060429追記:

4月度更新を行った後のIEに存在するCSSXSS脆弱性をついた実証コードが4/28以後に某所で公開されています。

追記終わり

4月度のセキュリティ更新プログラムを適用しても、いわゆるCSSXSS脆弱性はFIXされていないことを確認いたしました。

最近まで流通してた各種CSSXSS脆弱性の各種実証コードは、4月度のセキュリティ更新プログラムの適用後、無効になっているようです。JavaScriptでcssTextをハンドリングすると外部サイトのスタイルシートならば「アクセスが拒否されました」というエラーになるからです。いっけん一安心のように感じられます。

しかし現時点では、Microsoft社としては、いわゆるCSSXSS脆弱性(CVE-2005-4089)の対策を行ったとは言明していません。修正プログラムの説明を細かく見ても、CVE-2005-4089については触れられていません。そこで調べてみたところ私の手元でのテストでもCSSXSS脆弱性はまだ残っていることが判明いたしました。

悪意あるサーバ側の罠ページを参照しただけで、クロスドメインでターゲットとなるサイトの、ログイン済みでなければ提供されないHTML出力を、罠ページ側のcssTextで参照出来ました。フルパッチのIE6、on WindowsXP SP2 でテストしました。

PoCは公開できませんが、従来から知られているPoCの軽度な変種にすぎません。新しい脆弱性を発見したわけではありません。以下は確認した時の画像です。

stardust.s2.xrea.comのページにて、はてなのログイン済みユーザ名が取り込まれて表示されている画像

ログイン状態でなければ表示されない、はてなのユーザー名(この場合は私の'hoshikuzu')を含む『はてなの』HTMLコンテンツが、stardust.s2.xrea.com上のページでスタイルシートとして取り込まれ、cssTextを通じてtextarea要素内に出力されました。

取り込んだ対象のURLは、かつて、はまちちゃんが使って有名になった、http://b.hatena.ne.jp/t/%7b です。このページ内で、ログインしていなければ、ようこそゲストさん、と表示され、ログインしてあれば、例えば、ようこそhoshikuzuさん、と表示される部分を、外部サイト上のPoCで採取してるところが見て取れます。このことは、秘密情報の漏洩が発生しうるということを意味しています。

依然としてCSSXSS脆弱性はあるものと覚悟して、自衛していったほうが良いでしょう。

hoshikuzuhoshikuzu 2006/04/15 15:05 … CSSXSSは海外ではあまり注目されていないようですね。私は自分が使っている複数の特定のWebアプリでは、絶対にIEを使わないようにしています。

cleemycleemy 2006/04/17 21:29 罠ページの「通常のアクセス」で、いわゆるCSSXSSを突ける事をこちらでも確認しました。(多分hoshikuzuさんと同じ方法。)
ところで Matan Gillon氏のPoCは、NOD32は検出したりしますね。(JS/Exploit.GDesk.A)

hoshikuzuhoshikuzu 2006/04/17 22:56 うはぁcleemyさん。胸をなでおろしましたよ。ぢつは、月曜日(だいたい1:00頃)になってから「ひょっとしたらオイラの環境だけで駄目なんじゃね?」と心配になっていた矢先です。
そこでですね、広く情報収集したところ、なんと、4月のセキュリティ更新プログラム配信の【前に】私と同じロジックで辿り着いた人がいるのを発見したです〜はい。それで安心したのでした。
cleemyさんの手法が私と同じかどうかはわかりませんが、別種だとするとそれは新しい脆弱性かもしれません。同じ種類ならば、とりたてて新しくもないことでして、IPAさんに御報告するまでもないことです。私の場合にはjoroさんが(Guninskyさんが)大昔に使った手法が潜在意識の中に残っていたとしか言いようがありません。思いつき30秒、検証3時間ぐらいです。時間がかかるのは私の宿命です。

といいますか、私の日記での『新しい脆弱性を発見したわけではありません。』という言明では、チカラコブを膨らまして叫んでいます。cleemyさんが「ひょっとして新しい?」と…お思いでしたら是非にIPAさんに御連絡をお願い致します。
たとえば、cleemyさんの手法で、XMLHttpRequestや、ActiveXObjectのMsxml2.XMLHTTPやMicrosoft.XMLHTTPやらの、本来クロスドメインでアクセスが禁止されているはずの各種アクセス方法が「アクセスが拒否されました」と制限がかからなくなるとエライこっちゃです。私の場合には大丈夫でして深刻な事態にはなっていません。cleemyさんの手法がこれを突破しているのならば、いわゆるCSSXSSどころの騒ぎではありませんから…
大丈夫ですよね♪
などと放言してみました。m(_ _)m

cleemycleemy 2006/04/18 02:22 joroさんて、Georgi Guninski???彼のはたくさんありすぎてどれだか…
僕のはあまりにも簡単な方法なので多分新しい脆弱性という事はないはずですがいちおう他のクロスドメイン絡みも確認してみます。
まあ新しい脆弱性だとしても、はなくそをほじりながら「ふ〜ん新しい脆弱性なのか。IPA?知らんし。」とつぶやいて <del>自分だけのものに</del> hoshikuzuさんには検証のために教える事にしますので、IPA届け出プロクシとなるかどうかはお任せします。

cleemycleemy 2006/04/18 07:57 IE7のXMLHttpRequestは試してませんが、MSXML2とMSXML3のXMLHTTP、iframeとかはちゃんとエラー出ました。安堵。いま分かってる範囲ではcssTextだけが問題ですね。

hoshikuzuhoshikuzu 2006/04/18 17:15 着弾しました。cllemyさん、ありがとうございます。方法はたぶん同じですね(え〜)。これで互いに独立に3人が同じ方法に気がついたのですね〜。にしてもcssTextだけが問題というのは不可思議ですねぇ。

 | 
最近のコメント